NIS2 – Ako zvládnuť povinnosti z nového Zákona o kybernetickej bezpečnosti

Štatistiky hovoria jasne - od roku 2018 narástli celosvetové škody spôsobené kybernetickou kriminalitou na rekordných 8 biliónov €. Počet phishingových útokov vzrástol od roku 2023 až o 173 % a celosvetovo až 75 % firiem zažilo ransomwarový útok.

„Tieto a ďalšie štatistiky sú alarmujúce a jasne ukazujú, že kybernetická kriminalita nie je už len hrozbou pre nadnárodné spoločnosti, ale čoraz viac zasahuje aj stredne veľké a dokonca aj menšie podniky. Firmy by si mali uvedomiť, že ochrana pred digitálnymi hrozbami je dnes nevyhnutnosťou," hovorí Andrej Ižold, bezpečnostný analytik Orange Slovensko. V tomto kontexte je preto dôležité, aby sa kybernetická bezpečnosť a požiadavky na jednotlivé štátne či súkromné organizácie riešili aj legislatívne.

Nová smernica, nové povinnosti

NIS2 je európska smernica o kybernetickej bezpečnosti, ktorú musia členské štáty transponovať do svojich legislatívnych predpisov, napríklad do Zákona o kybernetickej bezpečnosti, ktorý následne musia dodržiavať dotknuté subjekty.

NIS2 prináša prísnejšie požiadavky na kybernetickú bezpečnosť firiem a dotkne sa širokého spektra organizácií. Jej hlavným cieľom je zlepšiť ochranu kritickej infraštruktúry a posilniť reakčné schopnosti podnikov v prípade kybernetických hrozieb. Firmy, ktoré nesplnia požiadavky, riskujú vysoké pokuty a možné reputačné škody. Už viete, či sa týkajú aj vašej firmy?

Vzťahuje sa na organizácie spadajúce do určitých kritických sektorov a veľkostí. Patria sem podniky s viac ako 50 zamestnancami alebo s ročným obratom nad 10 mil. €, ktoré zároveň pôsobia v  kritických odvetviach, akými sú energetika, doprava, zdravotníctvo, financie, digitálne služby a verejná správa. Okrem toho sa smernica môže vzťahovať aj na menšie podniky, ak poskytujú služby pre kritické sektory.

"Smernica explicitne definuje 18 sektorov, ktoré považuje za kritické pre fungovanie spoločnosti a ekonomiky. Tieto sú rozdelené do dvoch kategórií: Kľúčové subjekty a Dôležité subjekty pričom rozdiel medzi nimi spočíva v intenzite dohľadu a výške možných sankcií," upozorňuje Andrej Ižold.

Kľúčové termíny a požiadavky

Smernica zavádza pevné termíny, ktoré podniky nesmú ignorovať. Od 1. januára 2025 zákon vstúpil do platnosti a do 2. marca 2025 bolo potrebné oznámiť úradu NBÚ, či organizácia spadá pod reguláciu. Do marca 2026 musia potom podniky implementovať bezpečnostné opatrenia a v marci 2027 povinne absolvovať prvý audit.

Aby boli podniky v súlade s NIS2, musia prijať niekoľko zásadných opatrení:

• Identifikácia rizík: NIS2 vyžaduje vykonanie komplexného posúdenia rizík (risk assessment) vrátane analýzy zraniteľnosti IT infraštruktúry a dokumentácie bezpečnostných politík.
• Bezpečnostné opatrenia: Okrem firewallov a antivírových riešení je potrebné zaviesť prísne pravidlá kontroly prístupu, ako napríklad riadenie privilegovaného prístupu (PAM) a viacfaktorovú autentifikáciu (MFA).
• Monitorovanie siete: Pravidelné monitorovanie siete a detekcia podozrivej aktivity sú kľúčové, ale NIS2 tiež vyžaduje incident response plán (IRP), ktorý zahŕňa kroky na rýchlu reakciu na kybernetické incidenty.
• Vzdelávanie zamestnancov: Vzdelávanie je nevyhnutné, pričom NIS2 kladie dôraz na kybernetickú hygienu a školenie manažmentu v oblasti kybernetickej bezpečnosti.
• Spolupráca so subdodávateľmi: NIS2 zavádza povinnosť zabezpečiť ochranu dodávateľského reťazca, čo znamená kontrolu bezpečnostných opatrení u partnerov a dodávateľov.
• Reportovanie incidentov: NIS2 stanovuje prísne lehoty na nahlasovanie incidentov – prvé hlásenie do 24 hodín, následné do 72 hodín a finálne do jedného mesiaca.

Ako vám s tým pomôže Orange Slovensko?

Orange Slovensko ponúka riešenia, ktoré pomáhajú firmám zvládnuť požiadavky NIS2. DDoS ochrana chráni pred masovými kybernetickými útokmi a manažment mobilných zariadení (MDM) zabezpečuje bezpečnosť firemných smartfónov a tabletov. Bezpečnostné audity pomáhajú identifikovať riziká a implementovať opatrenia na ich minimalizáciu. Orange firmám zároveň ponúka viaceré riešenia zálohy a ochrany firemných dát.

Nečakajte na škody ani pokuty, začnite hneď!

Kontaktujte nás a získajte riešenia na mieru pre vašu firmu. Naši experti vám pomôžu zvládnuť všetky povinnosti, ktoré NIS2 prináša.